30 March 2018

Mõned mõtted riskihalduse kohta

Aastal 2009 olen kirjutanud sellise jutu
====
Käesolev kirjatükk sai tegelikult alguse sellest, et ma lugesin Cyberi raamatut "Infosüsteemide turve - Turvarisk". Kirjutasin selle kohta ka lugemissoovituse, kuid ma lubasin, et ei avalda seda enne, kui raamatu autorid on seda näinud ja mingi tagasiside andnud. Samas ei takista see mul avaldamast mõningaid omi mõtteid selle kohta.

Nimelt olen ma üsna veendunud, et kogu riskihalduse temaatika algab ja lõppeb inimliku faktoriga. Minu esmane kokkupuude sellega oli kusagil 90-ndate esimeses pooles, kui ma töötasin ühes firmas turvamehena. Nimelt alahindasid nad (minu arvates) riske ja tulemuseks oli kolm tapetud müügimeest. Loomulikult huvitas mind, miks nii ja ma üritasin ettevaatlikult põhjuseid uurida. Põhjused sain ma küll teada, kuid seal juures teenisin firma töötajate hulgas välja hüüdnime "midagi enamat, kui turvamees" :)

Sellest ajast alates olen ma näinud sadu juhtumeid (mis enamasti õnneks küll nii traagiliselt ei lõppenud), kus peamiseks põhjuseks on ebapiisav või ebapädev riskihaldus. Nende juhtumite põhjal on mul tekkinud (ilmselt mitte täielik) nimekiri asjadest, mis põhjustavad seda ebapädevust või ebapiisavust. Kuid... Näitlikustamise huvides konstrueerin mingi väga lihtsa näite ja vaadakem seda koos.

Näide: Eksperdid prognoosivad, et tornaadode arv Kariibi mere ümbruses järgmisel suvel kolmekordistub.

Keskmine inimene (sh ka keskmine firmajuht) loeb ja teeb selle peale "ah-ah" ning sinna paika see asi jääb... Samas tekib küsimus - miks?

Teadmiste puudumine Eestimaisel inimesel puudub enamasti igasugune arusaam, mis on tornaado või miks teda kartma peaks. Siia juurde võiks muidugi kirjutada terve traktaadi Zeitgeisti olemusest ja sellest, miks igavene koolireform paha on või sellest, miks kooliõpilased ei peaks saama kaasa rääkida õppeainete sisus või nimekirjas, kuid jäägu see mõnele teisele teha...

Eelnevaga on väga tihedalt seotud
Taustateadmiste puudumine Mida antud juhul tähendab "suvi" - kas see on kolm kuud või hoopis üheksa kuud... Samuti on küsimus, mida võiks absoluutarvudes tähendada "kolmekordistub" - kes see on nüüd siis kolm või hoopis kolmkümmend...

Seostamisoskuse puudumine Isegi juhul, kui inimene saab aru, mis on tornaado ja millised on selle võimalikud tagajärjed, ei taju ta selle seoseid enda või oma firmaga. Eraisikuna on ju lihtne - mul ei ole järgmisel suvel plaanis Kariibi mere piirkonda reisida, järelikult see mind ei puuduta. Samas ettevõtte juht peab lisaks oma isiklikule positsioonile vaatama ka seoseid oma firma osas - millised tarnijad või kauba saajad asuvad selles piirkonnas, kuidas tarneahela katkemine minu firmat mõjutab...

Liigne optimism Isegi juhul, kui inimene mõistab, et ta on selle nähtusega seotud, arvab ta et "minuga seda ju ei juhtu"...

Tagajärgede mittemõistmine Hüva, tornaadod on, nad tekitavad kahju, võib juhtuda, et isegi tarneahelad katkevad... mis siis? Meil on ju kindlustus ja eks me siis ostame (või müüme) teises kohas. Ma olen selle loogikaga täiesti nõus. Samas kas kindlustus katab tarnija kadumise ja uue tarnija leidmisega seonduvad kulud? Pealegi ei ole kahjustatud tarnija ainult ühe firma tarnija - ka kõik teised hakkavad ju uusi tarnijaid otsima ning kas nende teiste tarnijate ressurss peab kasvavale nõudlusele vastu või millist hinda nad oma kauba eest küsima hakkavad...

Raha Raha või õigemini selle puudumine on on põhjenduseks liigagi paljudel juhtudel. Mingil määral on see kindlasti õigustatud põhjendus - riskianalüüs on töömahukas (ja palju raha tahtev) ettevõtmine. Samas ei ole ma sugugi kindel, kas ettevõtjate hinnang kuluva raha osas pole mitte üle pakutud. Samuti pole ma kindel, kas nad tajuvad seda ohtu, mis tekib riskianalüüsi tegemata jätmisel.

Samas võib see viidata ka puudulikule prioriteetide seadmisele Teisisõnu - esmaseks prioriteediks on millegi tegemine (raha teenimine) ja kõik muu jäetakse tahaplaanile. Probleemidega tegeletakse alles siis, kui nad näkku hüppavad... Põhimõtteliselt on see arusaadav käitumine, ainuke "aga" tekib siis, kui mingi probleem väga akuutseks muutub - siis järsku selgub, et sellise probleemi tekkimist oleks pidanud juba varem ette nägema ja praegusel hetkel sellega tegelemine on ülimalt kallis või ei anna üldse mingit tulemust.

Milleks rääkida arvutiturbe ja infosüsteemide riskihalduse kontekstis jumal teab kus ähvardavatest tornaadodest. Põhjus on tegelikult väga lihtne - arvutid ja infosüsteemid on kordades keerukamad ja täiesti gobaalsed. Infosüsteem koosneb tuhandetest või isegi miljonitest komponentidest. Kujutage ette, kui keerukaks muutub siin teadmiste hankimine, seoste loomine või tagajärgede tajumine. Ja kujutage ette, mida tähendab kõikide nende teadmiste, seoste ja tajude haldamine...  Asi muutub suurusjärkude võrra keerukamaks, kui see infosüsteem pannakse otsaga internetti. Siin on miljoneid osapooli ja... internet on ülemaailmne. Piltlikult öeldes tuuakse Kariibi meri koos tornaadodega koju kätte.

Mis siis teha, et asja paremaks muuta? Ega mul tegelikult väga head rohtu pakkuda ei ole. Aitab ainult lai silmaring ja mõõdukalt eluterve paranoia :) Just nimelt mõõdukas ja eluterve, et mitte teise äärmusesse - paanikaosakonna - hulka langeda.

Mis aga puudutab sissejuhatuses kõne all olnud raamatut, siis soovitan seda lugeda - eriti tema neljandat ja viiendat peatükki.

Kelle asi on internetipõlvkonna kasvatamine

Aastal 2007 olen kirjutanud sellise, veel tänagi kehtiva jutu...
====
Aeg-ajalt on püütud käima tõmmata arutelu teemal, kes peaks lapsi internetis käituma õpetama. Asi on teravaks jälle teravaks tõusnud seoses möödunud nädalal Eesti Ekspressi poolt avalikustatud nn „hispaanlanna“ juhtumiga. Loomulikult püütakse jälle tõsta ka kilbile teemat rate.ee rollist eesti ühiskonnas. Aga kas see asi on ikka nii lihtne, et keelame rate ära ja koheselt on kõik meie viruaalmaailma probleemid lahendatud.

Mingil kummalisel põhjusel arvatakse, et arvuti ja internet ning kõik see mis seal toimub on kuidagi eriline ja allub mingitele teistele, hoopis isemoodi reeglitele. Jah, osaliselt vastab see arvamus tõele, nimelt on internet globaalne nähtus, mis liigub vabalt üle riikide piiride. Sellega kaasneb muidugi see, et erinevates riikides on erinevad seadused, tavad ja kombed, mis alati ei pruugi siin koduses eestis olla mõistetavad. Samas on olemas lihtsad ja universaalsed käitumisreeglid, mis kehtivad absoluutselt ja igal pool.

Oma igapäevases elus peame me loomulikuks, kui õpetame lapsele et „üksi kodus olles võõrastele ust ei avata“ või et „võõraste inimestega tänaval kaasa ei minda“. Oma igapäevases elus peame me loomulikuks lapse käest küsida „kus käid?“ või „kes on Su sõbrad?“. Samas kipuvad need igapäevased reeglid ununema, mängu tulevad arvutid ja internet. Näiteks ütlevad McAfee 22. oktoobril avalikustatud uuringu tulemused, et 52% teismelistest on avalikustanud isiklikku informatsiooni suhtluspartnerile, keda nad tunnevad ainult internetis. Kui palju aga me tegelikult teame sellest, kes on teisel pool ekraani?

Kuna arvuti vahendusel ei ole inimestel füüsilist kokkupuudet, siis on virtuaalmaailmas oluliselt kergem oma identiteeti muuta. Iseenesest pole sellistes trikkides midagi uut, ega ka taunitavat. Näiteks on käesoleva artikli autor, ilma ise seda teadmata, pikka aega suhelnud inimesega, kes päriselus on ratastoolis. Samas, kui internetis käitus ja väljendas ta ennast, kui moekas ja elu näinud daam. Tõenäoliselt ei saa keegi talle pahaks panna, et ta teostas internetis oma suurimat unistust – käia nagu normaalne inimene ning olla seksikas ja noormeeste poolt ihaldatud tütarlaps.

Asi muutub halvaks siis, kui teisel pool ekraani on inimene, kes valetab halbade kavatsustega. Siin peaks aga appi tulema lapsevanemad ise ja küsima just nimelt neid samu küsimusi: „kus Sa käid“, „mis Sa teed?“, „kellega Sa suhtled?“, „kes on Su sõbrad?“, kuid siia juurde tuleks ilmtingimata küsida ka „kas Sa neid suhtluspartnereid ja sõpru ka päriselus tunned?“. Jah, loomulikult võib lapesevanem siin öelda, et ta ei tunne arvutit ning ei suuda kontrollida, kas laps talle ka õigust räägib.

Näiteks seesama eelpool viidatud McAfee uuring ütleb, et 63% teismelistest oskavad oma tegevust varjata ning et 32% teevad seda ka tegelikkuses. Kuid selle vastu aitab ainult enese harimine. Lihtsamaid lahendusi leiab näiteks  www.arvutikaitse.ee lehekülgedel alajaotises „lapsed“. Sealsamas, teistes alajaotustes leiab ka viiteid veidi keerulisemate probleemide lahendamiseks.

Käesoleva artikli autor on seisukohal, et kõige olulisem on kasutajate harimine. Ilma teadmisteta või küllaldase hoolikuseta on internetis väga kerge sattuda pettuse ja ka kuriteo ohvriks. Samuti pakuks siinkohal välja mõned olulisemad soovitused:

Alusta varakult Niipea, kui laps muutub aktiivsemaks interneti kasutajaks, tuleb hakata teda harima internetiga kaasnevate ohtude osas.
Jälgi oma laste internetikasutust Vanemad arvavad, et nad teavad, millega nende laps internetis tegeleb. Sageli nad paraku eksivad, kuna lapsed on sageli arvuti kasutamise osas oluliselt targemad kui nende vanemad.
Arenda lapsega avatud dialoogi ning sea reeglid Me peame loomulikuks, et õpetame lapsi vastutustundlikult ja turvaliselt päriselus käituma. Samamoodi tuleb lapsi õpetada käituma ka virtuaalses maailmas.
Kontrolli regulaarselt oma lastega seotud sotsiaalse võrgustiku lehekülgi Õpeta neid käituma seal ettevaatlikult, eriti mis puudutab fotode või isikliku informatsiooni avaldamist sõpradele. Ei tasu unustada, et sotsiaalse võrgustiku lehed on avatud ka võrgukiskjatele.
Kindlusta oma arvuti turvalisus Kontrolli, et arvutis oleks installeeritud töökorras turvatarkvara (tulemüür ning viiruse- ja nuhkvaratõrje). Kontrolli, et see turvatarkvara oleks pidevalt uuendatud, kuna uued viirused ilmuvad iga päev. Vajadusel kasuta tarkvaras olevaid lapselukke.

Fakte küberkuritegevusest
  • Umbes iga neljas arvutikasutaja satub küberkuritegevuse ohvriks;
  • Internetiühendusega arvutit rünnatakse iga 39 sekundi tagant;
  • Kaitsmata internetiühendusega arvuti peab vastu umbes 4-6 minutit;
  • Küberkuritegevus on aastatel 2006-2007 kasvanud 264%, hinnanguliselt kasvab ta aastatel 2007-2008 veel 300%;
  • 80% küberrünnakutest on tehtud rahalise kasu saamise eesmärgil.

Kurrunurruvuti saar

Olen kunagi kaheksa aastat tagasi kirjutanud jutu Kurrunurruvuti saarest... Jutt ise kehtib veel tänagi (hoolimata sellest, et Pipi on rassistiks kuulutatud) :)
====
Kes meist poleks lapsepõlves lugenud Pipi Pikksukka ja unistanud viibida Kurrunurruvuti saarel. "Valge mehe seadused" seal ei kehti - igaüks võib teha, mida heaks arvab. Isegi "kaks-kord-kaks" annab seal teise (suurema) tulemuse, kuna kliima on teistsugune. Tõsi - vahel liiguvad seal röövlid, kuid siis tuleb sõjaprintsess... eee... vabandust, lihtsalt Pipi, kes pöörab ohtliku olukorra järjekordseks vahvaks seikluseks...

Mina ise olen hakanud arvutiturbe kontekstis kasutama terminit "Kurrunuruvuti saar" tähistamaks territooriume, kus "valge mehe seadus" ei kehti. Vajadus mingi üldistava nime järele tuleneb tegelikult sellest, et tegemist on just nimelt territooriumiga, mis võib, kuid ei pruugi, kattuda riigi piiridega. Asja vastu rohkem huvi tundvad inimesed võiksid ennast kurssi viia mõistega ASN. Siia juurde tuleb märkida, et loetelu sellistest territooriumitest on väga muutuv. Samuti tuleb mainida, et ka loetelu mittekehtivatest "valge mehe seadustest" on iga territooriumi kohta erinev.

Valge mehe seadus
Üldiselt peetakse halvaks spämmi, viiruste valmistamist ja levitamist, küberründeid, lapspornot, illegaalseid õnnemänge, relvade ja narkootikumide vahendamist ning palju muud seesugust. Enam-vähem ühte moodi saavad sellest aru ning on vastavad tegevused kuulutanud illegaalseks Euroopa Liit, USA, Kanada, Lõuna-Aafrika Vabariik, Austraalia ja Uus-Meremaa. Nimetatud riikide vahel on toimivad õigusabilepingud ning kui vastava riigi mõne asutuse või ettevõtte poole pöörduda, siis on oodata, et mingi mõistliku aja jooksul sealt ka adekvaatne reaktsioon laekub. Nimetagem seda üldistatult territooriumiks, kus kehtib "valge mehe seadus".

Kurrunurruvuti saar
Nagu juba eelpool mainitud, on keelatud ja lubatud tegevuste nimekiri territooriumite kohta erinev. Näitena võib võtta lapsporno - maailmas lihtsalt ongi riike kus seksuaaleluga on lubatud alustada varem ning kõikvõimalikud süüdistused kõlavad kurtidele kõrvadele. Samuti on olemas riike, kus küberründed on lubatud või lausa soovitavad. Samas on nad lubatud ainult nii-öelda vaenlase vastu. Näitena võib siia tuua Hiina ja Venemaa. Pahavara ja spämmi levitaja osas võib siia näiteks tuua Transnistria (Moldova separatistlik regioon)

Põhimõtteliselt saan ma aru, et termin "Kurrunurruvuti saar" on pikk ja lohisev ning pole seetõttu suupärane, kuid pakkuge parem!